Cómo Deshabilitar Ejecución de PHP en Directorio de WordPress

Deshabilitar ejecución de php en directorios de WordPress

La seguridad de tu sitio web es un asunto delicado, que debes considerar con toda la seriedad y prioridad posible, en particular en el caso de WordPress, por ser el gestor de contenido y aplicación de web más famosa y utilizada en internet. Por eso hoy veremos un nuevo refuerzo de seguridad, que es cómo deshabilitar ejecución de php en algún directorio de WordPress.

Directorios en WordPress

Hay varios directorios en WordPress, que contienen archivos de php, por ejemplo wp-includes o wp-admin para que el sistema en conjunto funcione adecuadamente. Esto está bien.

Algunos directorios con derechos de escritura, que permiten a los plugins y temas instalar y ejecutar los archivos necesarios para su funcionamiento, por lo tanto el del sitio web.

Sin embargo, los directorios con permiso de escritura como themes, uploads, plugins y otros pueden verse implicados, si un hacker consigue explotar estos directorios para ejecutar en ellos código php.

Esto es sumamente delicado, ya que puede arruinar por completo tu sitio web, porque cuando se ejecuta código php, significa que se pueden ejecutar también consultas sql remotamente a la base de datos.

El 1 de julio del año 2014 un error en el plugin MailPoet, en la versión de aquel entonces ha permitido a los hackers subir archivos maliciosos, y ejecutar código php en los sitios web que usaban esa versión, lo que les permitía hacer cualquier cosa en el sitio.

Por eso, hoy vamos a prevenir escenarios horrendos parecidos, y te mostraremos cómo deshabilitar ejecución de php en tu sitio web.

Deshabilitar Ejecución de PHP

Primera recomendación que siempre hacemos, es crear un copia de respaldo backup de los archivos de tu instalación, incluida la base de datos.

Lógicamente, lo que tenemos que hacer, es deshabilitar ejecución de php en los directorios o carpetas del sitio web, para que los hackers o cualquier persona malintencionada no pueda ejecutar archivos php directamente desde el directorio.

<FilesMatch “\.(php|php\.)$”>
    Order Allow,Deny
    Deny from all
</FilesMatch>

Copias y pegas el siguiente código en el archivo .htaccess que se encuentra en la instalación de tu sitio web de WordPress. Generalmente el archivo está en la ruta raíz del sitio, junto con las carpetas wp-content y wp-admin.

Ubicación del Archivo htaccess en WordPress

En caso de que no estés familiarizado con la edición de archivos, visita nuestro artículo de cómo editar archivos en WordPress de forma correcta.

Este código prohíbe el acceso directo a archivos que contengan la palabra php en su nombre o en la extensión final del archivo, ya que los hackes a veces pasan archivos con código php con extensión de imágenes en la carpeta uploads, para que no sea detectado.

Deshabilitar PHP en Directorios de WordPress

Otra recomendación para asegurar y proteger los directorios de WordPress aún más, es crear en cada carpeta de tu sitio web, que tiene permiso de escritura, un archivo .htaccess con el mismo código de arriba.

Esta práctica es muy recomendable, especialmente en el directorio uploads, y las carpetas cache tanto en el directorio themes como en plugins, ya que también tienen permiso de escritura, lo que podría ser potencialmente peligoso para tu sitio web.

Al terminar, guardas todos los cambios y los subes en sus respectivas ubicaciones en el servidor de tu instalación WordPress, de esta forma terminas de deshabilitar ejecución de php y por consecuente reforzar la seguridad de tu sitio web.

La seguridad de tu sitio web es un proceso continuo de trabajo y buenas prácticas, que lo mantienen protegido contra los posibles intrusos o atacantes, que están siempre trabajando para quebrantar la integridad de los más desprevenidos.

Una de las formas más recomendables de proteger tu sitio web es utilizar uno de los plugins más eficientes de seguridad en WordPress.

También te recomendamos ver los tutoriales de seguridad de WordPress que hemos escrito en nuestro sitio web.

Te invitamos a darle Me gusta a nuestra página de Facebook, y seguirnos en Twitter, para obtener nuestro contenido nuevo de seguridad y optimización de WordPress.

DEJAR COMENTARIO

Favor escribir tu comentario!
Favor ingresar tu nombre aquí